Traiter des données sensibles en assurant leur protection
Completion requirements
Tout traitement de données ne représente pas le même niveau de risque d'atteinte aux droits des personnes concernées. Ce risque s’accroît de manière substantielle lorsque le traitement porte sur des données sensibles.
En tant que futur professionnel de santé, il est indispensable de savoir définir et identifier une donnée sensible (1) afin d'assurer leur confidentialité (2), laquelle repose notamment sur le choix d'un hébergement respectant le cadre légal et réglementaire (3).
1. Définir et identifier une donnée sensible
Une donnée sensible peut être définie comme celle dont le traitement, et a fortiori
la violation, est susceptible de conduire à une atteinte grave et
difficilement réparable à la vie privée d'une personne. Parmi les
données sensibles, figurent les catégories de données particulières dans
le RGPD (a) auxquelles s'ajoute le cas particulier du NIR dans la Loi
dite Informatique et libertés (b).
a. Les catégories de données particulières dans le RGPD
C'est l'article 9 du RGPD qui liste les "catégories particulières de données à caractère personnel". Il s'agit des données :
- révélant l'origine raciale ou ethnique ;
- révélant les opinions politiques ;
- révélant les convictions religieuses ou philosophiques ou l'appartenance syndicale ;
- génétiques ou biométriques lorsqu'elles sont traitées aux fins d'identifier une personne physique de manière unique ;
- concernant la santé ;
- concernant la vie sexuelle ;
- concernant l'orientation sexuelle.
En
principe, le traitement de ces données est interdit. Toutefois, il
existe des exceptions à cette interdiction, parmi lesquelles figurent,
notamment :
- le consentement explicite de la personne concernée ;
-
le traitement est nécessaire à l'établissement de diagnostics médicaux
ou à la prise en charge sanitaire de la personne concernée.
Ainsi,
un traitement de données de santé mis en œuvre par un pharmacien sera
licite en vertu de la deuxième exception citée ci-dessus. À l'occasion
de son activité, le pharmacien sera également amené à traiter le NIR de ses patients, un numéro d'identification unique qui devra être utilisé
avec prudence.
b. Le cas particulier du NIR dans la Loi dite Informatique et libertés
Derrière
l'acronyme "NIR", se cache le numéro d'inscription au répertoire
national d'identification des personnes physiques. Ce nom aussi long
qu'officiel n'est autre que l’appellation formelle d'un identifiant
connu de chaque français : le numéro INSEE ou numéro de sécurité
sociale.
Par leur caractère signifiant,
les différents éléments qui composent le NIR sont susceptibles de
révéler un grand nombre d'informations sur son titulaire. De plus, le
NIR permet d'identifier une personne de manière unique et peut être
utilisé pour croiser différentes sources de données concernant une même personne.
Enfin, à moins d'être confronté à une situation très exceptionnelle, il
est impossible de changer de NIR.
C'est pour
toutes ces raisons que le NIR fait l'objet d'une protection
particulière. Celle-ci n'est pas le fruit du RGPD mais de la Loi dite Informatique et libertés.
La
règle est extrêmement simple : tout traitement de données portant sur
le NIR est strictement interdit, sauf s'il figure parmi ceux autorisés
par le Décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de
traitements comportant l'usage du numéro d'inscription au répertoire
national d'identification des personnes physiques ou nécessitant la
consultation de ce répertoire.
Par exemple, ce texte habilite l'Ordre des pharmaciens à traiter le NIR "pour la mise en œuvre du dossier pharmaceutique". Autre exemple, en sa qualité de professionnel "qui dispens[e] à des assurés sociaux ou à leurs ayants droit des actes
ou prestations pris totalement ou partiellement en charge par
l'assurance maladie", un pharmacien est autorisé à traiter le NIR
"pour les opérations liées à la facturation et à la prise en charge
financière des dépenses de santé".
En
somme, avant toute mise en œuvre d'un traitement exploitant le NIR, il
convient de se reporter au décret ci-dessus référencé afin de vérifier
que ce traitement est bien autorisé et que le responsable de traitement
fait partie des personnes habilitées à le mettre en œuvre. Une fois de
plus, la CNIL propose une fiche synthétique permettant d'appréhender aisément ce cadre réglementaire complexe.
Si
le responsable de traitement a l'obligation d'assurer la sécurité des
données personnelles qu'il traite, notamment en garantissant leur
confidentialité, cette exigence se trouve renforcée dès lors qu'il
s'agit de données sensibles.